Me encanta cuando te comes tu propia comida para perros!!!.
Los navegadores modernos, sin mencionar ninguno en concreto (como Chrome), se están volviendo más quisquillosos con la configuración de seguridad de las cookies.
Un ejemplo es la configuración de la Cookie SameSite. Por ejemplo, si no está presente en Chrome, utilizará su método por defecto, SameSite=Lax.
Pero, ¿qué ocurre si no quieres esto? La respuesta es cambiar el código de tu aplicación para reflejar la configuración que quieres utilizar. Pero, ¿qué ocurre si no puedes hacerlo fácilmente? Podría tratarse de una aplicación heredada.
La respuesta es utilizar las funciones de cambio de contenido flightPATH de EdgeADC.
El infame problema de WordPress WooCommerce ejecutándose en un Iframe
Hemos tenido un problema con una aplicación de WordPress que utilizamos y que se ejecuta en un Iframe. (No preguntes por qué.)
La aplicación utilizaba cookies de sesión que no tenían establecida la configuración SameSite.
La aplicación se ejecuta dentro de un sistema WordPress predeterminado proporcionado dentro de un contenedor Docker.
Investigamos algunas formas de solucionarlo, pero nuestros cambios no funcionaban correctamente en todas las cookies, así que decidimos intentar arreglarlo utilizando flightPATH.
Esto es lo que hicimos.
Creamos una regla flightPATH para añadir SameSite=none a las tres cookies infractoras, como se muestra a continuación.
La primera regla flightPATH que vamos a crear es:
A continuación, crearemos la segunda.
Por último, creamos la última. Éste tiene una definición ligeramente diferente, como puedes ver. Hemos añadido un comodín (*) porque no sabemos cuál es ese valor, ya que WordPress / WooCommerce asigna un valor aleatorio.
Llegados a este punto, te estarás diciendo: «¡eh! ¡esto no es seguro cuando se utiliza un comodín! Entendemos que el sitio es ligeramente menos seguro, pero:
- Todo funciona mediante HTTPS
- Ejecutamos un cortafuegos de aplicaciones
- Está reforzado por el hecho de que es un SO en contenedores, y los archivos clave son inmutables
Y en caso de que necesites un repaso sobre SameSite…
¿Cuál es la configuración de SameSite para las cookies?
El ajuste Cookie SameSite ayuda a controlar cuándo se envían las cookies con las solicitudes entre sitios, lo que ayuda a mitigar el riesgo de ataques de falsificación de solicitud entre sitios (CSRF). Aquí tienes un desglose de cómo funciona:
¿Qué son las peticiones cruzadas?
Las peticiones cruzadas son peticiones que se hacen de un sitio web a otro. Por ejemplo, si has iniciado sesión en una aplicación y haces clic en un enlace a un artículo de noticias, eso es una solicitud entre sitios. En pocas palabras, una solicitud que enlaza de un sitio a otro.
¿Qué es el ajuste SameSite?
El ajuste SameSite es un atributo de cookie que se puede utilizar para controlar si se envía o no una cookie con las peticiones cross-site. Hay tres valores posibles para el parámetro SameSite:
- MismoSitio=Estricto: Las cookies sólo se envían con solicitudes al mismo sitio que las estableció.
- MismoSitio=Lax: Las cookies se envían con peticiones al mismo sitio que las estableció, así como con peticiones a sitios de terceros que estén incrustados en la misma página, por ejemplo, dentro de un iFrame.
- MismoSitio=Ninguno: Las cookies se envían con todas las solicitudes, independientemente del sitio que las haya establecido.
¿Por qué es importante el ajuste SameSite?
El ajuste SameSite es importante porque ayuda a mitigar el riesgo de ataques CSRF (Cross-Site Request Forgery). Los ataques CSRF son un tipo de ciberataque que aprovecha el hecho de que el navegador de un usuario ya ha iniciado sesión en un sitio web. En un ataque CSRF, un atacante puede engañar a un usuario para que realice una solicitud a un sitio web en el que ha iniciado sesión, aunque el usuario no tenga intención de hacerlo. Esto puede permitir al atacante robar los datos del usuario o realizar otras acciones maliciosas.
